Offentlige myndigheder og virksomheder ligger inde med enorme mængder af personfølsomme data, der skal beskyttes i henhold til den nye persondataforordning fra EU. Overtrædes reglerne, reageres der:
»Vi skriver et brev. Kun et brev,« smilede Marit Hansen, databeskyttelseskommissær i den tyske delstat Schleswig-Holsteins databeskyttelsesmyndighed, i sit oplæg ved IT-sikkerhedseventet Infosecurity for nylig.
Når den nye persondataforordning træder i kraft i 2018, er sagen en anden. Bryder en virksomhed de nye regler om beskyttelse af persondata, kan det betyde bøder på op til 20 millioner euro eller 4 pct. af virksomhedens årlige globale omsætning,
»Det er ikke okay«
Fagfolk hylder den strammere kurs:
»I dag kan både rigsrevision og datatilsyn kun give en anmærkning og give en ny anmærkning et år efter. Der er ikke nogen konsekvens, og det er ikke okay,« siger Rasmus Theede, formand for Rådet for Digital Sikkerhed, til Version2.
Han er dog ikke tilfreds med, at det offentlige kan slippe for hårde sanktioner ved persondatalæk:
»Private virksomheder kan i den grad mærke en konsekvens, og sikkerhedsbrud kan lægge en virksomhed ned. Offentlige virksomheder skal også mærke det. De er dem med allermest persondata, og de data er dybt følsomme, med arbejdsoplysninger, økonomiske oplysninger og sygdomsoplysning.«
Han mener 'absolut', at det i sidste ende giver private virksomheder et større incitament til at overholde reglerne sammenlignet med de offentlige.
Marit Hansen er heller ikke imponeret over ordningen
»Det er et deprimerende svar,« sagde hun, og tilføjede at pressen dog stadig udgør en stor risiko for myndigheder, der ikke overholder reglerne.
Pressen som vagthund
Men pressen er også en risikofaktor for det private. Spørger man Rasmus Theede, er det private endda mere udsatte end det offentlige, hvis de rammer overskrifterne:
»Mister de tillid fra kunder, vælger kunder et andet sted at handle. Det er svære med det offentlige at vælge et andet skattevæsen for eksempel,« siger han og tilføjer:
»I det offentlige er det bare endnu en gang, det går galt med sikkerheden. Man kan se gevaldige øretæver til private, hvis de er blevet hacket eller har sløset med it-sikkerheden.«
Blandt de seneste års bommerter i det offentlige kan man næve, da CPR-kontoret i 2014 ved en fejl lagde 900.000 danskeres cpr-numre ud på internettet, da man fandt sække med følsomme oplysninger om børn, unge og deres forældre bag Smørum Rådhus, eller en af de nyere sager hvor personfølsomme oplysninger om handicappede børn og voksne i Middelfart Kommune lå frit tilgængeligt på nettet.
Går dog fremad
På trods af man har valgt ikke at pålægge myndigheder bøder for brud på persondataforordningen, vil der dog alligevel ske et ryk i den rigtige retning. Det spår Rasmus Thede samt Marit Hansen, der begge fremhæver kravet til en databeskyttelses rådgiver (DPO).
»Jeg er ret sikker på, at DPO’er vil give stort boost både i det private og i det offentlige,« siger Rasmus Theede.
Marit Hansen fortæller Version2, at de har 'virkelig gode erfaringer' i Tyskland med rådgiverne, som kan skabe øget fokus på datasikkerhed og spare med andre DPO'er.
Alternative sanktioner
Derudover kan man argumentere, at bøder til det offentlige er at spise sin egen hale, da det er det offentlige, som også får udbetalt bøderne. Derudover kan de forkerte blive ofre for dem.
»Vi kan godt forstå, at det vil ramme de forkerte, hvis dårlig it-sikkerhed på et hospital eller i en region går ud over sengepladser, og borgerne skal bøde for det,« siger Rasmus Theede og konkluderer.
»Der er nødt til at være andre tiltag.«
Han mener ikke at kende den helt rigtige opskrift, men giver et par eksempler på mulige sanktioner. For det første kan man fratage medarbejdere med ansvar for sjusk med persondata deres bonusser, og for det andet kan man erklære mistillid til en myndigheder og sætte den under observation.